Thought Leadership
APIs, Bots und Service-Accounts übertreffen menschliche IDs um das Vielfache. Das unkontrollierte Wachstum von Maschinen-IDs hebelt die IAM-Governance aus.
Die Steuerung digitaler Identitäten in Unternehmen konzentrierte sich traditionell fast ausschließlich auf den menschlichen Faktor. Das klassische Identity and Access Management hatte die Aufgabe, Konten für Mitarbeitende, Partner oder Kunden zu erstellen, Zugriffsrechte zu vergeben und diese über Multi-Faktor-Authentifizierung abzusichern. Im Jahr 2026 zeigt sich jedoch, dass diese Nutzergruppe nur noch einen Bruchteil der tatsächlichen Identitäten in modernen IT-Infrastrukturen ausmacht.
Durch die fortschreitende Automatisierung, die Verbreitung von Microservices, automatisierten Schnittstellen und autonomen Software-Agenten ist eine neue Klasse von Akteuren herangewachsen: die Nicht-Menschlichen Identitäten, im Englischen als Non-Human Identities bezeichnet. Da diese Maschinen-IDs unbemerkt und oft außerhalb der etablierten Governance-Strukturen entstehen, stoßen herkömmliche Sicherheitsarchitekturen an ihre strukturellen Grenzen.
Das quantitative Missverhältnis zwischen Mensch und Maschine
Die empirischen Daten aus der Sicherheitsforschung verdeutlichen die Schieflage in den heutigen Netzwerken. Telemetriedaten von Identitätsdienstleistern wie CyberArk und Marktanalysen von Gartner belegen, dass auf jede einzelne menschliche Identität in einem durchschnittlichen Unternehmen mittlerweile zwischen 10 und 45 nicht-menschliche Identitäten kommen. Zu dieser Gruppe zählen Dienstkonten, API-Schlüssel, OAuth-Tokens, SSH-Schlüssel, Secrets in Containern sowie automatisierte RPA-Bots.
Dieser Zuwachs ist das direkte Ergebnis moderner Software-Architekturen. Während eine monolithische Anwendung in der Vergangenheit mit einem einzigen Systemzugang auskam, besteht eine moderne, Cloud-native Applikation aus hunderten isolierten Microservices und Serverless Functions. Jede dieser Komponenten benötigt eine eigene, eindeutige Identität mit spezifischen Rechten, um mit anderen Diensten, Datenbanken oder externen APIs zu kommunizieren. Die schiere Masse dieser Konten führt dazu, dass das manuelle Rechtemanagement unmöglich wird und automatisierte Kontrollinstanzen überlastet sind.
Warum klassische Identitätsmanagementsysteme versagen
Das fundamentale Problem bei der Verwaltung von Maschinen-IDs liegt in der Architektur etablierter Identitätsmanagementsysteme. Traditionelle Plattformen sind darauf ausgelegt, den Lebenszyklus eines Menschen im Unternehmen abzubilden. Ein Mitarbeiter wird eingestellt, erhält über das Personalwesen ein Konto, nutzt Passwörter oder biometrische Merkmale zur Anmeldung und wird beim Verlassen der Firma wieder gelöscht.
Diese Kontrollmechanismen greifen bei Nicht-Menschlichen Identitäten nicht. Ein API-Token besitzt kein Gesicht, kann keine SMS für einen zweiten Authentifizierungsfaktor empfangen und durchläuft keinen klassischen Onboarding-Prozess. Zudem fehlt Maschinen-IDs im System oft ein eindeutiger menschlicher Eigentümer. Wenn ein Entwickler ein Skript zur Datenübertragung schreibt und dafür ein Dienstkonto anlegt, bleibt dieses Konto im System oft auch dann aktiv, wenn das Projekt längst beendet ist oder der verantwortliche Programmierer das Unternehmen verlassen hat. Da diese IDs keine interaktiven Anmeldesitzungen nutzen, sondern kontinuierlich im Hintergrund operieren, fallen sie in normalen Protokollanalysen kaum als Anomalie auf.
Das Einfallstor der Schatten-IT über dezentrale Schnittstellen
Die Bedrohung verschärft sich drastisch durch die Entstehung einer maschinellen Schatten-IT. Fachabteilungen nutzen zunehmend Cloud-Dienste und Automatisierungsplattformen wie Zapier, Make oder dezentrale KI-Assistenten, um Workflows ohne Einbindung der zentralen IT-Abteilung zu verknüpfen. Um Daten zwischen Systemen auszutauschen, generieren Anwender eigenständig API-Schlüssel in den von ihnen genutzten Unternehmensanwendungen, beispielsweise im CRM-System oder in Projektmanagement-Tools.
Diese Form der dezentralen Verknüpfung entzieht sich der IAM-Governance vollständig. Die IT-Leitung sieht im zentralen Dashboard zwar, dass die Hauptanwendung läuft, hat jedoch keine Sichtbarkeit darüber, welche nachgelagerten Drittanbieter-Tools über dauerhaft gültige API-Tokens vollen Lese- und Schreibzugriff auf die internen Datenbestände besitzen. Es entsteht eine unkontrollierte Netzwerktopologie, bei der ein Sicherheitsvorfall bei einem unbekannten, von einer Fachabteilung angebundenen Cloud-Dienstleister direkte Auswirkungen auf die Integrität der internen Systeme haben kann.
Sicherheitsrisiken durch das unkontrollierte Streuen von Geheimnissen
Die technische Natur von Maschinen-IDs bedingt spezifische Sicherheitsrisiken, die im IT-Sicherheitsmanagement als Secrets Sprawl bezeichnet werden. Im Gegensatz zu Menschen, die sich Zugangsdaten merken oder in Passwortmanagern speichern, müssen Softwarekomponenten ihre Anmeldedaten im Quellcode, in Konfigurationsdateien oder in Umgebungsvariablen hinterlegen, um autonom agieren zu können.
Untersuchungen von Sicherheitsplattformen wie GitGuardian zeigen, dass Millionen von Geheimnissen, darunter AWS-Zugriffsschlüssel, Azure-Dienstprinzipale und private Krypto-Schlüssel, fälschlicherweise in öffentlichen oder unzureichend geschützten Quellcode-Verzeichnissen auf Plattformen wie GitHub landen. Erlangen Angreifer Zugriff auf ein solches Token, können sie sich im Netzwerk seitwärts bewegen, da diese Maschinen-IDs im Gegensatz zu menschlichen Nutzern selten an geografische Standorte oder spezifische Endgeräte-Zertifikate gebunden sind. Ein einmal kompromittiertes Token erlaubt den weltweiten Zugriff mit den Rechten der Maschine, ohne dass eine Warnmeldung ausgelöst wird.
Strategien zur systematischen Inventarisierung von Maschinen-IDs
Um den Kontrollverlust zu stoppen, müssen Unternehmen das Management nicht-menschlicher Identitäten als eigenständige Säule in ihrer IT-Sicherheitsarchitektur etablieren. Dies erfordert den Übergang von der rein menschzentrierten Governance hin zu einem dedizierten Machine Identity Management. Der erste Schritt hierbei ist die automatisierte Entdeckung und Katalogisierung aller aktiven Schlüssel, Zertifikate und Dienstkonten innerhalb der gesamten Infrastruktur.
Spezialisierte Discovery-Tools scannen Repositories, Cloud-Umgebungen und lokale Server, um verwaiste oder ungenutzte Maschinen-IDs aufzuspüren. Jede gefundene Identität muss im zentralen IAM-System registriert und einem klaren Kontext sowie einer verantwortlichen Person oder einem verantwortlichen Team zugeordnet werden. Konten, die über einen definierten Zeitraum hinweg keine Aktivität aufweisen, müssen über automatisierte Workflows isoliert und nach einer Sicherheitsfrist gelöscht werden, um die Angriffsfläche systematisch zu reduzieren.
Die Durchsetzung des Prinzips der geringsten Rechte für Software
Nach der Inventarisierung steht die Durchsetzung strenger Zugriffskontrollen im Vordergrund. Für Maschinen-IDs muss das Prinzip der geringsten Rechte ebenso konsequent angewendet werden wie für menschliche Nutzer. Viele Service-Accounts werden bei der Einrichtung aus Bequemlichkeit mit globalen Administratorrechten ausgestattet, obwohl sie lediglich Lesezugriff auf ein spezifisches Datenbankverzeichnis benötigen.
Moderne Architekturen setzen daher auf die dynamische Vergabe von Berechtigungen. Anstatt langlebige API-Schlüssel zu verwenden, die über Jahre hinweg gültig bleiben, migrieren Unternehmen auf kurzlebige Tokens und temporäre Identitäten. Cloud-Anbieter ermöglichen es, Workloads über kurzzeitige Autorisierungen zu verknüpfen, die nach wenigen Minuten oder Stunden automatisch ablaufen.
Zudem gewinnen zentrale Secrets-Management-Systeme an Bedeutung. Diese Tresorsysteme speichern die Zugangsdaten verschlüsselt, rotieren Passwörter für Dienstkonten vollautomatisch in kurzen Intervallen und geben diese nur im Moment der Ausführung an die autorisierte Anwendung weiter. Durch diese konsequente Kapselung und kontinuierliche Überwachung der maschinellen Kommunikationswege lässt sich die Flut der nicht-menschlichen Identitäten effektiv beherrschen.
